我正在搜索一些不同的搜索字词,我希望根据匹配的字词对数据进行分组:
"PhraseA" "PhraseB" "PhraseC" | timechart count by <which Phrase matched>
<which Phrase matched>应该取代什么?我将根据结果构建一个堆积条形图。
答案 0 :(得分:1)
尝试使用eval和case创建一个类别字段,并在图表中使用它:
index=whatever_index "PhraseA" "PhraseB" "PhraseC"
| eval matched_phrase=case(searchmatch("PhraseA"), "PhraseA", searchmatch("PhraseB"), "PhraseB", searchmatch("PhraseC"), "PhraseC")
| timechart count by matched_phrase
Splunk documentation中有关这些功能的更多信息